Биометрические данные: как законно собирать, хранить и защищать (152-ФЗ)

Представьте ситуацию: вы внедрили систему прохода в офис по лицу. Удобно? Да. Безопасно? Не обязательно. Если вы не оформили документы правильно, одна ошибка может стоить компании огромного штрафа от Роскомнадзора или судебного иска от сотрудника. Биометрия - это не просто «удобный пароль». Это самая чувствительная категория информации о человеке, которую нельзя сменить, если она утекла.

В России правила игры записаны в Федеральном законе № 152-ФЗ «О персональных данных». Статья 11 этого закона четко разграничивает обычные данные (ФИО, телефон) и биометрические персональные данные. Понимание этой границы - первый шаг к безопасности бизнеса.

Что именно считается биометрией?

Многие ошибочно полагают, что любое фото сотрудника - это биометрия. Это не так. Согласно статье 11 № 152-ФЗ, биометрическими данными считаются сведения, которые отвечают трем критериям одновременно:

• Они отражают физиологические или биологические особенности человека (отпечатки пальцев, рисунок радужной оболочки, геометрия лица, голос, ДНК).
• На их основе можно однозначно установить личность конкретного человека.
• Оператор использует их именно для этой цели - идентификации.

Пример из практики: фотография в кадровом досье сама по себе не является биометрией, если она служит только для визуального опознания человеком. Но если эта же фотография загружается в программу распознавания лиц для открытия турникета - она становится биометрическим персональным данным. Разница в технологии обработки, а не в самом изображении.

Важно помнить: рост, цвет волос или глаз не являются биометрией, так как по этим признакам невозможно однозначно идентифицировать личность среди миллионов людей.

Правило письменного согласия: без него нельзя

Это главное правило работы с биометрией. В отличие от обычных персональных данных, где иногда достаточно галочки на сайте, для биометрии закон требует письменного согласия.

Согласно части 4 статьи 9 и части 1 статьи 11 № 152-ФЗ, согласие должно содержать:

1. ФИО субъекта, паспортные данные и адрес регистрации.
2. Подпись субъекта (собственноручную или усиленную квалифицированную электронную подпись - УКЭП).
3. Реквизиты оператора.
4. Конкретную цель обработки (например, «контроль доступа в офис»).
5. Перечень конкретных биометрических данных (например, «снимок лица» или «отпечаток указательного пальца правой руки»).
6. Срок действия согласия.
7. Порядок отзыва согласия.

Устное согласие или конклюдентные действия (типа «прошел через турникет») здесь не работают. Если сотрудник отказывается подписывать такое согласие, работодатель не имеет права применять к нему дисциплинарные взыскания или увольнять за это. Роструд неоднократно подтверждал: отказ от сдачи биометрии не является нарушением трудовой дисциплины. Вам придется предусмотреть альтернативный способ пропуска (карта, PIN-код).

Где хранятся данные: архитектура безопасности

Юридическая чистота - половина дела. Вторая половина - техническая защита. Эксперты по информационной безопасности (например, компания InfoWatch) выделяют несколько критических принципов защиты биометрии:

Если вы разрабатываете собственную систему, она должна пройти сертификацию в ФСТЭК или ФСБ. Готовые облачные решения также должны иметь соответствующие лицензии и сертификаты. Без них использование системы для обработки биометрии незаконно.

Единая биометрическая система (ЕБС): особый режим

С 30 сентября 2022 года в России действуют новые правила сбора биометрии для Единой биометрической системы (ЕБС). Это государственная платформа, позволяющая гражданам дистанционно открывать счета в банках, получать госуслуги и совершать платежи.

Ключевые изменения:

• Добровольность: Граждане не обязаны сдавать биометрию для ЕБС, за исключением случаев, связанных с обороной и безопасностью государства.
• Каналы сбора: Сбор возможен только через банки (в отделениях или через мобильные приложения банков) или через МФЦ.
• Запрет скрытого сбора: Категорически запрещено собирать биометрию с камер видеонаблюдения или других источников без явного письменного согласия человека. Массовое распознавание лиц на улицах без согласия нарушает закон.

Для бизнеса это означает: вы не можете использовать камеры наблюдения для автоматической идентификации клиентов или сотрудников без их предварительного информирования и получения согласия, оформленного по строгим правилам 152-ФЗ.

Чек-лист для работодателя перед внедрением биометрии

Прежде чем закупать сканеры отпечатков или камеры распознавания лиц, пройдитесь по этому списку:

• Необходимость: Действительно ли нужна биометрия? Можно ли решить задачу картой доступа? Закон требует минимизации данных.
• Политика обработки: Опубликована ли политика обработки персональных данных на сайте? Есть ли в ней отдельный раздел про биометрию (ст. 18.1 № 152-ФЗ)?
• Форма согласия: Подготовлена ли форма согласия, соответствующая ст. 9 и ст. 11 № 152-ФЗ? Она должна быть конкретной, а не общей.
• Альтернатива: Предусмотрен ли способ доступа для тех, кто откажется от биометрии?
• Техническая защита: Используются ли сертифицированные средства шифрования? Где физически хранится база?
• Инструктаж: Знают ли ИТ-специалисты и кадровики порядок работы с этими данными?

Риски и штрафы

Нарушение правил обработки биометрии карается строго. Штрафы по КоАП РФ (статья 13.11) для юридических лиц могут достигать сотен тысяч рублей за каждый инцидент. Но главная проблема не в деньгах.

Биометрические данные неизменяемы. Если пароль украдут, его можно сменить. Если украдут ваш отпечаток пальца или карту лица - вы не сможете «сменить» палец или лицо. Утечка биометрии создает риск для гражданина на всю жизнь. Поэтому регуляторы (Роскомнадзор) и суды относятся к таким нарушениям с максимальной жесткостью.

Помните: биометрия - это инструмент высокой ответственности. Используйте его там, где безопасность действительно требует такой точности, и защищайте эти данные так, как будто это ваши собственные секреты.